会员服务
工具 · 结构 · 令牌 · 结构性 · 攻击 ·
2 月 16 日
Overthinking Loops in Agents: A Structural Risk via MCP Tools
翻译:基于MCP工具的智能体过度思考循环:一种结构性风险
Yohan Lee,Jisoo Jang,Seoyeon Choi,Sangyeop Kim,Seungtaek Choi
Yohan Lee,Jisoo Jang,Seoyeon Choi,Sangyeop Kim,Seungtaek Choi

Tool-using LLM agents increasingly coordinate real workloads by selecting and chaining third-party tools based on text-visible metadata such as tool names, descriptions, and return messages. We show that this convenience creates a supply-chain attack surface: a malicious MCP tool server can be co-registered alongside normal tools and induce overthinking loops, where individually trivial or plausible tool calls compose into cyclic trajectories that inflate end-to-end tokens and latency without any single step looking abnormal. We formalize this as a structural overthinking attack, distinguishable from token-level verbosity, and implement 14 malicious tools across three servers that trigger repetition, forced refinement, and distraction. Across heterogeneous registries and multiple tool-capable models, the attack causes severe resource amplification (up to $142.4\times$ tokens) and can degrade task outcomes. Finally, we find that decoding-time concision controls do not reliably prevent loop induction, suggesting defenses should reason about tool-call structure rather than tokens alone.


翻译:使用工具的LLM智能体正日益通过基于文本可见的元数据(如工具名称、描述和返回消息)来选择和链接第三方工具,以协调实际工作负载。我们证明,这种便利性会创建一个供应链攻击面:恶意的MCP工具服务器可以与正常工具一同注册,并诱发过度思考循环。在这种循环中,单个看似微不足道或合理的工具调用会组合成循环轨迹,从而在没有单个步骤显得异常的情况下,推高端到端的令牌消耗和延迟。我们将此形式化为一种结构性过度思考攻击,以区别于令牌层面的冗余冗长,并在三个服务器上实现了14个恶意工具,这些工具会触发重复、强制细化和注意力分散。在异构注册中心和多个支持工具的模型上,该攻击会导致严重的资源放大(令牌消耗最高可达$142.4\times$),并可能降低任务完成质量。最后,我们发现解码时的简洁性控制并不能可靠地防止循环诱导,这表明防御措施应当对工具调用结构进行推理,而不仅仅关注令牌。
0
下载
关闭预览

相关内容

智能体化人工智能 (Agentic AI) 的前行之路:挑战与机遇
智能体化人工智能 (Agentic AI) 的前行之路:挑战与机遇
专知会员服务
38+阅读 · 1月8日
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
专知会员服务
37+阅读 · 2025年10月17日
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
30+阅读 · 2025年9月27日
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
专知会员服务
62+阅读 · 2025年9月12日
AgentOps综述:分类、挑战与未来方向
AgentOps综述:分类、挑战与未来方向
专知会员服务
38+阅读 · 2025年8月6日
基于大模型的智能体中由自主性引发的安全风险综述
基于大模型的智能体中由自主性引发的安全风险综述
专知会员服务
18+阅读 · 2025年7月1日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
44+阅读 · 2025年6月9日
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
专知会员服务
25+阅读 · 2025年4月30日
走向通用虚拟智能体
走向通用虚拟智能体
专知会员服务
74+阅读 · 2023年11月26日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
37+阅读 · 2022年10月19日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
专知
15+阅读 · 2022年2月16日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
专知
15+阅读 · 2017年9月24日
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
专知
14+阅读 · 2017年9月23日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
群智感知中基于可信交互的细粒度众包机制研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
工业过程动态数据的多模型在线重构研究
国家自然科学基金
1+阅读 · 2015年12月31日
过程感知信息系统的跨组织业务过程建模与分析研究
国家自然科学基金
0+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
Wink: Recovering from Misbehaviors in Coding Agents
Arxiv
0+阅读 · 2月19日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
Optimizing FaaS Platforms for MCP-enabled Agentic Workflows
Arxiv
0+阅读 · 1月27日
ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback
Arxiv
0+阅读 · 1月15日
MindGuard: Intrinsic Decision Inspection for Securing LLM Agents Against Metadata Poisoning
Arxiv
0+阅读 · 1月15日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
MindGuard: Intrinsic Decision Inspection for Securing LLM Agents Against Metadata Poisoning
Arxiv
0+阅读 · 1月14日
Towards Verifiably Safe Tool Use for LLM Agents
Arxiv
0+阅读 · 1月12日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
结构
令牌
结构性
攻击
相关VIP内容
智能体化人工智能 (Agentic AI) 的前行之路:挑战与机遇
智能体化人工智能 (Agentic AI) 的前行之路:挑战与机遇
专知会员服务
38+阅读 · 1月8日
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
专知会员服务
37+阅读 · 2025年10月17日
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
30+阅读 · 2025年9月27日
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
专知会员服务
62+阅读 · 2025年9月12日
AgentOps综述:分类、挑战与未来方向
AgentOps综述:分类、挑战与未来方向
专知会员服务
38+阅读 · 2025年8月6日
基于大模型的智能体中由自主性引发的安全风险综述
基于大模型的智能体中由自主性引发的安全风险综述
专知会员服务
18+阅读 · 2025年7月1日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
44+阅读 · 2025年6月9日
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
专知会员服务
25+阅读 · 2025年4月30日
走向通用虚拟智能体
走向通用虚拟智能体
专知会员服务
74+阅读 · 2023年11月26日
热门VIP内容
相关资讯
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
37+阅读 · 2022年10月19日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
专知
15+阅读 · 2022年2月16日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
专知
15+阅读 · 2017年9月24日
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
专知
14+阅读 · 2017年9月23日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
相关论文
Wink: Recovering from Misbehaviors in Coding Agents
Arxiv
0+阅读 · 2月19日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
Optimizing FaaS Platforms for MCP-enabled Agentic Workflows
Arxiv
0+阅读 · 1月27日
ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback
Arxiv
0+阅读 · 1月15日
MindGuard: Intrinsic Decision Inspection for Securing LLM Agents Against Metadata Poisoning
Arxiv
0+阅读 · 1月15日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
MindGuard: Intrinsic Decision Inspection for Securing LLM Agents Against Metadata Poisoning
Arxiv
0+阅读 · 1月14日
Towards Verifiably Safe Tool Use for LLM Agents
Arxiv
0+阅读 · 1月12日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
群智感知中基于可信交互的细粒度众包机制研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
工业过程动态数据的多模型在线重构研究
国家自然科学基金
1+阅读 · 2015年12月31日
过程感知信息系统的跨组织业务过程建模与分析研究
国家自然科学基金
0+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员
Top